Это плохая практика, чтобы поставить конфиденциальную информацию в файле web.config?

При попытке облегчить администратора модифицировать группы пользователей авторизуются в моем веб-приложении ASP .NET MVC, я поставил группы групп в My Web.config в виде приложений.

<add key="User" value="VDP ICMD Users"/>
<add key="SuperUser" value="VDP ICMD Super Users"/>
<add key="Administrator" value="VDP ICMD Administrator"/>

Значения, связанные с фактическими именами группы Active Directory. Тогда в моем контроллерах, используя мой пользовательский averizeAttribute Я могу просто написать

[AuthorizeAD(GroupKeys = "User")]

Мой вопрос в том, это плохая практика, чтобы поставить конфиденциальную информацию, такую ​​как названия группы в файле Web.config, где их можно легко быть измененный? Чтобы кто-то легко получить доступ к файлу Web.config, кроме, входящей в систему на сам сервер?